CobaltStrike 生成office宏病毒进行钓鱼攻击

关于WORD宏

在百度百科上有:

宏是一个批量处理程序命令,正确地运用它可以提高工作效率。微软的office软件允许用户自己编写,叫VBA的脚本来增加其灵活性,进一步扩充它的能力。如完打开word文件同时要打开某个文件的功能,必须要自己编写一段称之为宏的脚本。具体做法是在“工具”菜单“宏”-“宏”弹出的对话框输入宏名,然后按“创建”按钮会打开visual basic编辑器,你就可以编程了,这个就是宏。学会它会有很多乐趣的。玩过街机模拟器的人肯定有体会,在格斗游戏中,用模拟器来录制宏,以实现一键放绝招。

简单来说WORD宏可以让用户编写VBA脚本来灵活操作WORD,是Office软件设计者为了让人们使用软件进行工作时,避免一再重复相同的动作,而设计出来的一种工具。

宏病毒使用常见场景:

个人常遇到的场景为:

编写存在WORD宏病毒的WORD文件 -> 利用社会工程学投递WORD并令对方打开点击启用宏 -> 目标上线

关于此处的社会工程学,抛砖引玉,如在WORD中放置一张模糊的图片,需要启用宏才能查看详细内容,或者:

存在以上内容,说明该文件是被保护的文档,只有点击“Enable Editing” (允许编辑) 和”enable content” (启用内容)后才能显示真正的内容。

而点击启用内容后,也是启用了宏,运行宏命令从而导致自己电脑被感染

另外还可以结合一些时事来进行定向钓鱼攻击,比如结合新冠疫情健康信息等内容的二次交互,导致目标启用宏感染。

 

使用Cobalt Strike生成木马:

首先创建一个监听器监听8080端口

点击attacks -> packages -> MS Office Macro

选择之前创建的监听器;

点击Generate

这里告诉了我们CS生成的宏病毒的使用方法,复制生成的宏代码

创建一个WORD,视图-查看宏:

宏名是随便输一个就行,然后点创建

添加代码是在project中,如图:

接着保存代码,就跳出来这个

我们需要另存为启用宏的Word

另存为后,一个Word宏病毒文件就做好了。

打开虚拟机尝试上线:

成功上线

可以查看任务管理器:

发现该恶意进程 :D,关于宏病毒免杀操作下次再写篇博客,以上

 

参考文章

posted @ 2020-10-16 01:07  春告鳥  阅读(5792)  评论(0编辑  收藏  举报